隨著移動(dòng)設(shè)備的高度普及，移動(dòng)辦公早已不是什么新鮮事，移動(dòng)辦公在開(kāi)啟方便之門的同時(shí)也帶了一些安全風(fēng)險(xiǎn)，企業(yè)如何保障移動(dòng)設(shè)備安全？如何確保移動(dòng)辦公中企業(yè)數(shù)據(jù)不被泄露？......如何安全移動(dòng)辦公成了企業(yè)亟需解決的問(wèn)題。

什么是企業(yè)移動(dòng)安全支撐平臺(tái)？

聯(lián)軟企業(yè)移動(dòng)安全支撐平臺(tái)提供了一整套移動(dòng)安全應(yīng)用框架：

它采用先進(jìn)的“零信任”安全架構(gòu)設(shè)計(jì)，為企業(yè)應(yīng)用提供安全快捷的部署環(huán)境，創(chuàng)新性的提供了企業(yè)移動(dòng)業(yè)務(wù)從開(kāi)發(fā)，上線，運(yùn)營(yíng)全套流程，對(duì)比傳統(tǒng)流程，縮短了移動(dòng)業(yè)務(wù)的開(kāi)發(fā)和上線周期；

同時(shí)解決企業(yè)數(shù)據(jù)在傳輸、存儲(chǔ)、使用、設(shè)備遺失等各種場(chǎng)景下的安全問(wèn)題；

通過(guò)接入EMM統(tǒng)一門戶與安全隧道，防止黑客入侵后端系統(tǒng)，比傳統(tǒng)VPN更加安全；

通過(guò)統(tǒng)一安全策略，解決員工隱私保護(hù)問(wèn)題，防止第三方移動(dòng)應(yīng)用開(kāi)發(fā)商竊取員工隱私信息。

1、移動(dòng)設(shè)備安全接入管理

●網(wǎng)絡(luò)接入：支持配發(fā)設(shè)備直接通過(guò)內(nèi)網(wǎng)的WLAN認(rèn)證接入；配發(fā)設(shè)備離開(kāi)企業(yè)時(shí)支持通過(guò)接入VPDN專線訪問(wèn)內(nèi)網(wǎng)；對(duì)于企業(yè)內(nèi)員工自帶的移動(dòng)設(shè)備則可以通過(guò)部署的BYOD安全網(wǎng)關(guān)統(tǒng)一認(rèn)證接入內(nèi)網(wǎng)，保障了所有移動(dòng)終端安全接入訪問(wèn)內(nèi)網(wǎng)移動(dòng)辦公業(yè)務(wù)。

●應(yīng)用接入：終端上的移動(dòng)辦公業(yè)務(wù)啟動(dòng)時(shí)，APP會(huì)立即調(diào)用EMM產(chǎn)品的應(yīng)用層SDK，自動(dòng)和EMM產(chǎn)品的安全網(wǎng)關(guān)建立SSL加密傳輸連接，安全網(wǎng)關(guān)通過(guò)URL的不同，識(shí)別出APP需要訪問(wèn)的應(yīng)用服務(wù)器，然后將數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)，完成APP到應(yīng)用服務(wù)器的數(shù)據(jù)交互。實(shí)現(xiàn)了業(yè)務(wù)服務(wù)器隱藏在安全網(wǎng)關(guān)后面，無(wú)需暴露業(yè)務(wù)服務(wù)器任何IP端口信息（包括內(nèi)網(wǎng)IP），以下為中國(guó)銀行移動(dòng)安全門戶示意圖：

●接入安全：通過(guò)EMM網(wǎng)絡(luò)接入管理和應(yīng)用接入管理，可提供統(tǒng)一的網(wǎng)絡(luò)安全認(rèn)證服務(wù)，無(wú)論處于什么接入環(huán)境、通過(guò)什么接入方式、通過(guò)任意的移動(dòng)設(shè)備均可實(shí)現(xiàn)身份的認(rèn)證、權(quán)限的管理、終端安全檢查、應(yīng)用隧道加密、實(shí)現(xiàn)隔離、流控、擴(kuò)展等非功能機(jī)制，確保只有合法的用戶、合規(guī)的終端才能訪問(wèn)權(quán)限范圍內(nèi)的企業(yè)應(yīng)用。

通過(guò)應(yīng)用層APN管道技術(shù)，每個(gè)應(yīng)用都獨(dú)享一個(gè)安全隧道，可以確保數(shù)據(jù)傳輸?shù)陌踩?。在?yīng)用層APN中，有終端和網(wǎng)關(guān)兩個(gè)核心控制點(diǎn)，這兩個(gè)控制點(diǎn)相互關(guān)聯(lián)，雙向認(rèn)證，高度安全，即使通過(guò)黑客類手段獲取終端權(quán)限，利用偽造或中間人攻擊等手段也無(wú)法突破網(wǎng)關(guān)的防護(hù)

2、移動(dòng)應(yīng)用管理

●應(yīng)用分發(fā)管理：支持與企業(yè)CDN系統(tǒng)集成，實(shí)現(xiàn)通過(guò)CDN分發(fā)企業(yè)移動(dòng)應(yīng)用；支持企業(yè)移動(dòng)應(yīng)用灰度發(fā)布；支持發(fā)布流量管控，避免新業(yè)務(wù)上線大量終端批量安裝時(shí)造成的網(wǎng)絡(luò)擁塞；支持?jǐn)帱c(diǎn)續(xù)傳，避免重復(fù)下載，提高用戶體驗(yàn)；可以對(duì)應(yīng)用的安裝進(jìn)行統(tǒng)計(jì)，實(shí)時(shí)把握新業(yè)務(wù)的推廣進(jìn)度。

●應(yīng)用權(quán)限管理：對(duì)移動(dòng)設(shè)備和移動(dòng)應(yīng)用的訪問(wèn)權(quán)限進(jìn)行管理，可按照用戶、部門、設(shè)備、設(shè)備組、等設(shè)置移動(dòng)應(yīng)用的下載、訪問(wèn)等權(quán)限。同時(shí)支持批量導(dǎo)入用戶EHR號(hào)進(jìn)行應(yīng)用與用戶權(quán)限關(guān)系的設(shè)定；

●移動(dòng)門戶管理：支持BYOD設(shè)備、各類配發(fā)設(shè)備采用不同的EMMAPP門戶，并通過(guò)EMM門戶集成企業(yè)移動(dòng)應(yīng)用；支持通過(guò)移動(dòng)門戶進(jìn)行統(tǒng)一單點(diǎn)登錄，用戶只需要登錄門戶，后續(xù)門戶內(nèi)集成的移動(dòng)應(yīng)用都無(wú)需再次輸入域帳號(hào)、密碼登錄。

3、移動(dòng)設(shè)備管理

支持對(duì)所有移動(dòng)設(shè)備進(jìn)行全生命周期的管理：包含設(shè)備激活、設(shè)備策略配置、設(shè)備信息的采集與綁定、設(shè)備使用、設(shè)備失聯(lián)、設(shè)備淘汰等。

4、資產(chǎn)管理

EMM具備強(qiáng)大完善的資產(chǎn)管理能力，可以將設(shè)備標(biāo)識(shí)為企業(yè)所屬或個(gè)人所屬，并根據(jù)此屬性關(guān)聯(lián)不同的策略，執(zhí)行不同的管理措施：

●EMM客戶端可獲取設(shè)備詳細(xì)信息，包括設(shè)備名稱、型號(hào)、序列號(hào)、MAC地址、IMEI、廠商、運(yùn)營(yíng)商、系統(tǒng)版本、資產(chǎn)歸屬、當(dāng)前登陸賬號(hào)等信息，幫助企業(yè)全面、準(zhǔn)確的掌握企業(yè)內(nèi)部移動(dòng)設(shè)備的資產(chǎn)情況，提高移動(dòng)設(shè)備資產(chǎn)的管理能力。

●設(shè)備安全管理策略，EMM支持對(duì)iOS、Android 設(shè)備配置安全管理策略：支持系統(tǒng)配置類策略（如WiFi配置，SSID名稱、安全類型、代理設(shè)置等）；支持系統(tǒng)限制類策略（如密碼限制、設(shè)備功能性限制、自帶應(yīng)用程序限制、iCloud限制、安全與隱私限制、單應(yīng)用模式限制、存儲(chǔ)加密限制等）。

●設(shè)備合規(guī)管理，支持對(duì)移動(dòng)設(shè)備進(jìn)行合規(guī)檢查（如越獄或root、SIM卡變更、安裝違規(guī)應(yīng)用等），對(duì)于違規(guī)的設(shè)備，支持在設(shè)備詳情中體現(xiàn)，可通過(guò)系統(tǒng)消息、郵件、短信等方式通知管理員，并支持管理員通過(guò)預(yù)先設(shè)置安全事件的方式自動(dòng)化處理違規(guī)設(shè)備。

●遠(yuǎn)程管理和時(shí)間地址圍欄管理。

5、數(shù)據(jù)安全管理

●安全沙箱：EMM提供安全沙箱能力，通過(guò)安全沙箱實(shí)現(xiàn)個(gè)人和企業(yè)數(shù)據(jù)的隔離，對(duì)企業(yè)數(shù)據(jù)采用高強(qiáng)度加密手段防護(hù)，能做到即使數(shù)據(jù)被非法獲取也無(wú)法獲取明文信息。

●安全水印: EMM支持動(dòng)態(tài)加載數(shù)字水印，大大降低企業(yè)數(shù)據(jù)被拍照截屏分享泄露的概率。

價(jià)值提供-為業(yè)務(wù)創(chuàng)新提速和保駕護(hù)航

1、縮短開(kāi)發(fā)周期

企業(yè)移動(dòng)管理平臺(tái)以SDK方式為企業(yè)移動(dòng)業(yè)務(wù)提供完整的安全能力以及公共業(yè)務(wù)能力，如水印、消息推送、數(shù)據(jù)流處理等。這樣開(kāi)發(fā)者可以專注在業(yè)務(wù)創(chuàng)新側(cè)，新的移動(dòng)業(yè)務(wù)只需要考慮業(yè)務(wù)邏輯和處理流程，減少以往移動(dòng)業(yè)務(wù)開(kāi)發(fā)需要涉及的模塊，縮短開(kāi)發(fā)周期，助力企業(yè)移動(dòng)應(yīng)用輕量化，加速業(yè)務(wù)創(chuàng)新。

2、安全的移動(dòng)業(yè)務(wù)

將移動(dòng)業(yè)務(wù)服務(wù)器安全的隱藏在安全網(wǎng)關(guān)后面的內(nèi)網(wǎng)里，即使前端的應(yīng)用APP也無(wú)需知道移動(dòng)業(yè)務(wù)服務(wù)器的內(nèi)網(wǎng)IP和端口；對(duì)企業(yè)移動(dòng)業(yè)務(wù)的數(shù)據(jù)進(jìn)行全生命周期（數(shù)據(jù)安全傳輸，數(shù)據(jù)安全存儲(chǔ)，數(shù)據(jù)安全閱讀）的安全保障，大大提升了企業(yè)移動(dòng)業(yè)務(wù)的安全性。

3、創(chuàng)新的上線流程

從移動(dòng)業(yè)務(wù)上線無(wú)需進(jìn)行開(kāi)放防火墻端口等安全改造，只需集成企業(yè)移動(dòng)管理平臺(tái)的SDK進(jìn)行發(fā)布，即可安全快速上線，大大縮短移動(dòng)業(yè)務(wù)上線周期和成本。

4、高效的推廣機(jī)制

對(duì)于新的移動(dòng)業(yè)務(wù)推廣，只需要在發(fā)布應(yīng)用時(shí)選擇默認(rèn)安裝，終端用戶打開(kāi)企業(yè)移動(dòng)門戶時(shí)就會(huì)靜默安裝新的移動(dòng)業(yè)務(wù)，同時(shí)該機(jī)制大大降低了終端用戶的學(xué)習(xí)和使用成本，提升了移動(dòng)應(yīng)用的使用體驗(yàn)，減少了企業(yè)移動(dòng)應(yīng)用的推廣阻力，從而提高了移動(dòng)應(yīng)用的推廣速度。

5、便捷的運(yùn)維管理

企業(yè)移動(dòng)管理平臺(tái)提供了便捷的運(yùn)維管理能力：對(duì)于移動(dòng)應(yīng)用的靜默安裝升級(jí)，支持灰度發(fā)布以及限流限載；對(duì)于移動(dòng)設(shè)備提供了可逐層升級(jí)的應(yīng)急事件處理預(yù)案；同時(shí)提供強(qiáng)大的數(shù)據(jù)分析統(tǒng)計(jì)報(bào)表，幫助運(yùn)維管理員全方位了解移動(dòng)應(yīng)用和移動(dòng)設(shè)備的管理情況，大大降低了運(yùn)維管理難度和成本。

6、極致的終端體驗(yàn)

企業(yè)移動(dòng)管理平臺(tái)對(duì)應(yīng)的終端APP集成了每個(gè)用戶權(quán)限內(nèi)所有企業(yè)移動(dòng)應(yīng)用，只需要一次安裝，即可暢快使用所有移動(dòng)辦公應(yīng)用；集成了單點(diǎn)登錄模塊，終端用戶無(wú)需記錄多個(gè)移動(dòng)辦公業(yè)務(wù)的賬號(hào)密碼，只要成功登錄了企業(yè)移動(dòng)管理平臺(tái)，即可免密使用所有移動(dòng)辦公應(yīng)用，既便捷又提高了安全性；終端用戶使用移動(dòng)辦公業(yè)務(wù)的任何問(wèn)題都可以在相應(yīng)應(yīng)用進(jìn)行反饋，幫助業(yè)務(wù)快速迭代。